Registrando o acesso do usuário final com auditoria de acesso a arquivos - Servidor FSx de arquivos Amazon para Windows
Destinos dos logs de eventos de auditoriaComo migrar seus controles de auditoriaComo visualizar logs de eventos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Registrando o acesso do usuário final com auditoria de acesso a arquivos

O Amazon FSx para Windows File Server oferece suporte à auditoria do acesso do usuário final a arquivos, pastas e compartilhamentos de arquivos. Você pode optar por enviar os registros de eventos de auditoria de um sistema de arquivos para outros AWS serviços que oferecem um rico conjunto de recursos. Isso inclui permitir a consulta, o processamento, o armazenamento e o arquivamento de registros, a emissão de notificações e o acionamento de ações para promover ainda mais suas metas de segurança e conformidade.

Para obter mais informações sobre o uso da auditoria de acesso a arquivos para obter insights sobre padrões de acesso e implementar notificações de segurança para a atividade do usuário final, consulte File storage access patterns insights e Implementing security notifications for end user activity.

nota

A auditoria de acesso a arquivos é suportada somente em sistemas FSx de arquivos Windows com uma capacidade de taxa de transferência de 32 MBps ou mais. Você pode modificar a capacidade de taxa de transferência nos sistemas de arquivos existentes. Para obter mais informações, consulte Gerenciando a capacidade de taxa de transferência em sistemas FSx de arquivos do Windows File Server.

A auditoria de acesso a arquivos permite que você registre os acessos de usuários finais a arquivos, pastas e compartilhamentos de arquivos individuais com base nos controles de auditoria definidos. Os controles de auditoria também são conhecidos como listas de controle de acesso ao NTFS sistema (SACLs). Se você já tem controles de auditoria configurados em seus dados de arquivos existentes, você pode tirar proveito da auditoria de acesso a arquivos criando um novo sistema de arquivos Amazon FSx para Windows File Server e migrando seus dados.

A Amazon FSx oferece suporte aos seguintes eventos de auditoria do Windows para acessos a arquivos, pastas e compartilhamentos de arquivos:

  • Para acessos a arquivos, ele é compatível com: Tudo, Ir para pasta/Executar arquivo, Listar pasta/Ler dados, Ler atributos, Criar arquivos/Gravar dados, Criar pastas/Anexar dados, Gravar recursos, Excluir subpastas e arquivos, Excluir, Ler permissões, Alterar permissões e Assumir propriedade.

  • Para acessos ao compartilhamento de arquivos, ele é compatível com: Conectar com um compartilhamento de arquivos.

Em todos os acessos a arquivos, pastas e compartilhamentos de arquivos, a Amazon FSx suporta o registro de tentativas bem-sucedidas (como um usuário com permissões suficientes acessando com sucesso um arquivo ou compartilhamento de arquivos), tentativas malsucedidas ou ambas.

Você pode configurar se deseja auditoria de acesso somente em arquivos e pastas, somente em compartilhamentos de arquivos ou em ambos. Você também pode configurar quais tipos de acesso devem ser registrados em log (somente tentativas com êxito, somente tentativas malsucedidas ou ambas). Você também pode desativar a auditoria de acesso a arquivos a qualquer momento.

nota

A auditoria de acesso a arquivos registra os dados de acesso do usuário final somente a partir do momento em que é ativada. Ou seja, a auditoria de acesso a arquivos não gera logs de eventos de auditoria de atividades de acesso a arquivos, pastas e compartilhamentos de arquivos do usuário final que ocorreram antes da habilitação da auditoria de acesso a arquivos.

A taxa máxima de eventos de auditoria de acesso compatível é de cinco mil eventos por segundo. Os eventos de auditoria de acesso não são gerados para cada operação de leitura e gravação de arquivo, mas são gerados uma vez por operação de metadados de arquivo, como quando um usuário cria, abre ou exclui um arquivo.

Tópicos

Destinos dos logs de eventos de auditoria

Ao habilitar a auditoria de acesso a arquivos, você deve configurar um AWS serviço para o qual a Amazon FSx envia os registros de eventos de auditoria. Você pode enviar registros de eventos de auditoria para um stream de CloudWatch logs do Amazon Logs em um grupo de CloudWatch logs do Logs ou para um stream de entrega do Amazon Data Firehose. Você escolhe o destino dos registros de eventos de auditoria ao criar seu sistema de arquivos Amazon FSx para Windows File Server ou a qualquer momento ao atualizar um sistema de arquivos existente. Para obter mais informações, consulte Como gerenciar a auditoria de acesso a arquivos.

Veja abaixo algumas recomendações que podem ajudar você a decidir qual destino dos logs de eventos de auditoria escolher:

  • Escolha CloudWatch Logs se quiser armazenar, visualizar e pesquisar registros de eventos de auditoria no CloudWatch console da Amazon, executar consultas nos CloudWatch registros usando o Logs Insights e acionar CloudWatch alarmes ou funções Lambda.

  • Escolha o Amazon Data Firehose se quiser transmitir continuamente eventos para armazenamento no Amazon S3, para um banco de dados no Amazon Redshift, para o OpenSearch Amazon Service ou para soluções de parceiros, como Splunk ou Datadog, AWS para análises adicionais.

Por padrão, a Amazon FSx criará e usará um grupo padrão de CloudWatch registros de registros em sua conta como destino do registro de eventos de auditoria. Se você quiser usar um grupo de registros de CloudWatch registros personalizado ou usar o Firehose como destino do registro de eventos de auditoria, aqui estão os requisitos para os nomes e locais do destino do registro de eventos de auditoria:

  • O nome do grupo de CloudWatch registros de registros deve começar com o /aws/fsx/ prefixo. Se você não tiver um grupo de CloudWatch registros de registros existente ao criar ou atualizar um sistema de arquivos no console, a Amazon FSx poderá criar e usar um fluxo de registros padrão no grupo de CloudWatch /aws/fsx/windows registros de registros. Se você não quiser usar o grupo de registros padrão, a interface de configuração permite criar um grupo de CloudWatch registros de registros ao criar ou atualizar seu sistema de arquivos no console.

  • O nome do stream de entrega do Firehose deve começar com o aws-fsx- prefixo. Se você não tiver um stream de entrega do Firehose existente, poderá criar um ao criar ou atualizar seu sistema de arquivos no console.

  • O stream de entrega do Firehose deve ser configurado para ser usado Direct PUT como fonte. Você não pode usar um fluxo de dados existente do Kinesis como fonte de dados para seu fluxo de entrega.

  • O destino (o grupo de CloudWatch registros do Logs ou o stream de entrega do Firehose) deve estar na mesma AWS partição e Conta da AWS no sistema de FSx arquivos da Amazon. Região da AWS

Você pode alterar o destino do registro de eventos de auditoria a qualquer momento (por exemplo, de CloudWatch Logs para Firehose). Ao fazer isso, os novos logs de eventos de auditoria serão enviados somente para o novo destino.

Entrega de máximo esforço de logs de eventos de auditoria

Normalmente, os registros do registro de eventos de auditoria são entregues ao destino em minutos, mas às vezes podem levar mais tempo. Em ocasiões muito raras, os registros de logs de eventos de auditoria podem ser perdidos. Se seu caso de uso exigir uma semântica específica (por exemplo, garantir que nenhum evento de auditoria seja perdido), recomendamos que você contabilize os eventos perdidos ao criar seus fluxos de trabalho. Você pode auditar eventos perdidos verificando a estrutura de arquivos e pastas em seu sistema de arquivos.

Como migrar seus controles de auditoria

Se você tiver controles de auditoria (SACLs) já configurados em seus dados de arquivos existentes, você pode criar um sistema de FSx arquivos da Amazon e migrar seus dados para seu novo sistema de arquivos. Recomendamos usar AWS DataSync para transferir dados e os associados SACLs ao seu sistema de FSx arquivos da Amazon. Como solução alternativa, você pode usar o Robocopy (Robust File Copy). Para obter mais informações, consulte Migração do armazenamento de arquivos existente para a Amazon FSx.

Como visualizar logs de eventos

Você pode visualizar os registros de eventos de auditoria depois FSx que a Amazon começar a emiti-los. Onde e como você visualiza os logs, depende do destino dos logs de eventos de auditoria:

  • Você pode ver CloudWatch os registros de registros acessando o CloudWatch console e escolhendo o grupo de registros e o stream de registros para os quais seus registros de eventos de auditoria são enviados. Para obter mais informações, consulte Exibir dados de log enviados para CloudWatch Logs no Guia do usuário do Amazon CloudWatch Logs.

    Você pode usar o CloudWatch Logs Insights para pesquisar e analisar interativamente seus dados de registro. Para obter mais informações, consulte Análise de dados de log com o CloudWatch Logs Insights, no Guia do usuário do Amazon CloudWatch Logs.

    Você também pode exportar logs de eventos de auditoria para o Amazon S3. Para obter mais informações, consulte Exportação de dados de log para o Amazon S3, também no Guia do usuário do CloudWatch Amazon Logs.

  • Você não pode ver os registros de eventos de auditoria no Firehose. No entanto, você pode configurar o Firehose para encaminhar os registros para um destino que você possa ler. Os destinos incluem Amazon S3, Amazon Redshift, OpenSearch Amazon Service e soluções de parceiros, como Splunk e Datadog. Para obter mais informações, consulte Escolha o destino no Guia do desenvolvedor do Amazon Data Firehose.

Campos de eventos de auditoria

Esta seção fornece descrições das informações nos logs de eventos de auditoria e exemplos de eventos de auditoria.

A seguir, estão as descrições dos campos relevantes em um evento de auditoria do Windows.

  • EventID refere-se à ID de evento do log de eventos do Windows definida pela Microsoft. Consulte a documentação da Microsoft para obter informações sobre eventos do sistema de arquivos e eventos de compartilhamento de arquivos.

  • SubjectUserNamerefere-se ao usuário que está realizando o acesso.

  • ObjectNamerefere-se ao arquivo, pasta ou compartilhamento de arquivos de destino que foi acessado.

  • ShareNameestá disponível para eventos gerados para acesso ao compartilhamento de arquivos. Por exemplo, o EventID 5140 será gerado quando um objeto de compartilhamento de rede for acessado.

  • IpAddressrefere-se ao cliente que iniciou o evento para eventos de compartilhamento de arquivos.

  • As palavras-chave, quando disponíveis, referem-se a se o acesso ao arquivo foi bem-sucedido ou falhou. Para acessos bem-sucedidos, o valor é 0x8020000000000000. Para acessos malsucedidos, o valor é 0x8010000000000000.

  • TimeCreated SystemTimerefere-se à hora em que o evento foi gerado no sistema e exibido no formato < YYYY -MM DDThh -:mm:ss.s>z.

  • Computador se refere ao DNS nome do sistema de arquivos Windows Remote PowerShell Endpoint e pode ser usado para identificar o sistema de arquivos.

  • AccessMask, quando disponível, refere-se ao tipo de acesso ao arquivo realizado (por exemplo, ReadData, WriteData).

  • AccessListrefere-se ao acesso solicitado ou concedido a um objeto. Para obter detalhes, consulte a tabela abaixo e a documentação da Microsoft (conforme no Evento 4556).

Tipo de acesso Máscara de acesso Valor

Ler dados ou listar diretório

0x1

%%4416

Gravar dados ou adicionar arquivo

0x2

%%4417

Anexar dados ou adicionar subdiretório

0x4

%%4418

Ler atributos estendidos

0x8

%%4419

Gravar atributos estendidos

0x10

%%4420

Executar ou percorrer

0x20

%%4421

Excluir filho

0x40

%%4422

Ler atributos

0x80

%%4423

Atributos de gravação

0x100

%%4424

Delete

0x10000

%%1537

Leia ACL

0x20000

%%1538

Escreva ACL

0x40000

%%1539

Gravar o proprietário

0x80000

%%1540

Sincronizar

0x100000

%%1541

Segurança de acesso ACL

0x1000000

%%1542

Veja abaixo alguns eventos importantes com exemplos. Observe que o XML está formatado para facilitar a leitura.

O ID de evento 4660 será registrado quando um objeto for excluído.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4660</EventID><Version>0</Version><Level>0</Level>
<Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-05-18T04:51:56.916563800Z'/>
<EventRecordID>315452</EventRecordID><Correlation/>
<Execution ProcessID='4' ThreadID='5636'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x50932f71</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='HandleId'>0x12e0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data></EventData></Event>

O ID de evento 4659 será registrado em uma solicitação para excluir um arquivo.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4659</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-0603T19:18:09.951551200Z'/>
<EventRecordID>308888</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5540'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\shar\event.txt</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1537
				%%4423
				</Data><Data Name='AccessMask'>0x10080</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='ProcessId'>0x4</Data></EventData></Event>

O ID de evento 4663 será registrado quando uma operação específica for executada no objeto. O exemplo a seguir mostra a leitura de dados de um arquivo, que podem ser interpretados na AccessList %%4416.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663< /EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:10:13.887145400Z'/>
<EventRecordID>308831</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='6916'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData>< Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113< /Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0x101c</Data><Data Name='AccessList'>%%4416
				</Data>
<Data Name='AccessMask'>0x1</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data>
</EventData></Event>

O exemplo a seguir mostra como gravar ou acrescentar dados de um arquivo, que podem ser interpretados na AccessList %%4417.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4663</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:12:16.813827100Z'/>
<EventRecordID>308838</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='5828'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\event.txt</Data>
<Data Name='HandleId'>0xa38</Data><Data Name='AccessList'>%%4417
				</Data><Data Name='AccessMask'>0x2</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data><Data Name='ResourceAttributes'>S:AI</Data></EventData></Event>

O ID de evento 4656 indica que um acesso específico foi solicitado para um objeto. No exemplo a seguir, a solicitação de leitura foi iniciada para ObjectName “permtest” e foi uma tentativa malsucedida, conforme visto no valor de palavras-chave de0x8010000000000000.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4656</EventID><Version>1</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:22:55.113783500Z'/>
<EventRecordID>308919</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='4924'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0x0</Data><Data Name='TransactionId'>{00000000-0000-0000-0000-000000000000}</Data>
<Data Name='AccessList'>%%1541
				%%4416
				%%4423
				</Data><Data Name='AccessReason'>%%1541:	%%1805
				%%4416:	%%1805
				%%4423:	%%1811	D:(A;OICI;0x1301bf;;;AU)
				</Data><Data Name='AccessMask'>0x100081</Data><Data Name='PrivilegeList'>-</Data>
<Data Name='RestrictedSidCount'>0</Data><Data Name='ProcessId'>0x4</Data><Data Name='ProcessName'></Data>
<Data Name='ResourceAttributes'>-</Data></EventData></Event>

O ID de evento 4670 é registrado quando as permissões de um objeto são alteradas. O exemplo a seguir mostra que o usuário “admin” modificou a permissão em “permtest” para adicionar permissões a ObjectName “SIDS-1-5-21-658495921-4185342820-3824891517-1113". Consulte a documentação da Microsoft para obter mais informações sobre como interpretar as permissões.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>4670</EventID><Version>0</Version><Level>0</Level>
<Task>13570</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords>
<TimeCreated SystemTime='2021-06-03T19:39:47.537129500Z'/><EventRecordID>308992</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='2776'/><Channel>Security</Channel>
<Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-1113</Data>
<Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2a9a603f</Data><Data Name='ObjectServer'>Security</Data>
<Data Name='ObjectType'>File</Data><Data Name='ObjectName'>\Device\HarddiskVolume8\share\permtest</Data>
<Data Name='HandleId'>0xcc8</Data>
<Data Name='OldSd'>D:PAI(A;OICI;FA;;;SY)(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-2622)</Data>
<Data Name='NewSd'>D:PARAI(A;OICI;FA;;;S-1-5-21-658495921-4185342820-3824891517-1113)(A;OICI;FA;;;SY)(A;OICI;FA;;;
S-1-5-21-658495921-4185342820-3824891517-2622)</Data><Data Name='ProcessId'>0x4</Data>
<Data Name='ProcessName'></Data></EventData></Event>

O ID de evento 5140 é registrado sempre que um compartilhamento de arquivo é acessado.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5140</EventID><Version>1</Version><Level>0</Level><Task>12808</Task><Opcode>0</Opcode>
<Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime='2021-06-03T19:32:07.535208200Z'/>
<EventRecordID>308947</EventRecordID><Correlation/><Execution ProcessID='4' ThreadID='3120'/>
<Channel>Security</Channel><Computer>amznfsxgyzohmw8.example.com</Computer><Security/></System>
<EventData><Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-2620</Data>
<Data Name='SubjectUserName'>EC2AMAZ-1GP4HMN$</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x2d4ca529</Data><Data Name='ObjectType'>File</Data><Data Name='IpAddress'>172.45.6.789</Data>
<Data Name='IpPort'>49730</Data><Data Name='ShareName'>\\AMZNFSXCYDKLDZZ\share</Data>
<Data Name='ShareLocalPath'>\??\D:\share</Data><Data Name='AccessMask'>0x1</Data><Data Name='AccessList'>%%4416
				</Data></EventData></Event>

O ID de evento 5145 é registrado quando o acesso é negado no nível do compartilhamento de arquivos. O exemplo a seguir mostra que o acesso a ShareName “demoshare01" foi negado.

<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System>
<Provider Name='Microsoft-Windows-Security-Auditing' Guid='{54849625-5478-4994-A5BA-3E3B0328C30D}'/>
<EventID>5145</EventID><Version>0</Version><Level>0</Level>
<Task>12811</Task><Opcode>0</Opcode><Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime='2021-05-19T22:30:40.485188700Z'/><EventRecordID>282939</EventRecordID>
<Correlation/><Execution ProcessID='4' ThreadID='344'/><Channel>Security</Channel>
<Computer>amznfsxtmn9autz.example.com</Computer><Security/></System><EventData>
<Data Name='SubjectUserSid'>S-1-5-21-658495921-4185342820-3824891517-
1113</Data><Data Name='SubjectUserName'>Admin</Data><Data Name='SubjectDomainName'>example</Data>
<Data Name='SubjectLogonId'>0x95b3fb7</Data><Data Name='ObjectType'>File</Data>
<Data Name='IpAddress'>172.31.7.112</Data><Data Name='IpPort'>59979</Data>
<Data Name='ShareName'>\\AMZNFSXDPNTE0DC\demoshare01</Data><Data Name='ShareLocalPath'>\??\D:\demoshare01</Data>
<Data Name='RelativeTargetName'>Desktop.ini</Data><Data Name='AccessMask'>0x120089</Data>
<Data Name='AccessList'>%%1538 %%1541 %%4416 %%4419 %%4423 </Data><Data Name='AccessReason'>%%1538:
%%1804 %%1541: %%1805 %%4416: %%1805 %%4419: %%1805 %%4423: %%1805 </Data></EventData></Event>

Se você usar o CloudWatch Logs Insights para pesquisar seus dados de registro, poderá executar consultas nos campos de eventos, conforme mostrado nos exemplos a seguir:

  • Para consultar um ID de evento específico:

    fields @message
   | filter @message like /4660/

  • Para consultar todos os eventos que correspondem a um nome de arquivo específico:

    fields @message
   | filter @message like /event.txt/

Para obter mais informações sobre a linguagem de consulta do CloudWatch Logs Insights, consulte Análise de dados de log com o CloudWatch Logs Insights, no Guia do usuário do Amazon CloudWatch Logs.